34 bösartige Pakete: Hacker stehlen Cloud-Zugänge, Wallets und SSH-Credentials

Hackern sind es gelungen, 34 bösartige Pakete in drei großen Open-Source-Ökosystemen einzuschleusen, wodurch sie Cloud-Zugangsdaten, SSH-Schlüssel und Blockchain-Wallet-Daten, die nichts V Hackern sind es gelungen, 34 bösartige Pakete in drei großen Open-Source-Ökosystemen einzuschleusen, wodurch sie Cloud-Zugangsdaten, SSH-Schlüssel und Blockchain-Wallet-Daten, die nichts ächtigen ahnten.

Die Kampagne, die als TrapDoor bezeichnet wird, wurde erstmals am 24. Mai 2026 vom Sicherheitsteam, das die vergifteten Pakete in npm, PyPI und Crates.io entdeckt hatte. Insgesamt wurden 384 Versionen veröffentlicht; das Ziel waren Entwickler in den Bereichen Kryptowährungen, DeFi, Solana, KI und Sicherheitsforschung.

Bereits das Einfügen oder Kompilieren eines Pakets reichte aus, um den bösartigen Code auszulösen, ohne dass der Betroffene weitere Maßnahmen ergreifen musste. Besonders gefährlich an TrapDoor war, wie natürlich es sich in die normalen Arbeitsabläufe ügte.

Die Angreifer nutzten die eigenen integrierten Mechanismen jedes Ökosystems, um die bösartige Logik automatisch auszulösen: In PyPI wurde der Code ausgeführt, sobald ein Paket importiert wurde, und in Crates.io während der Kompilierungsphase. In npm startete das Malware-Modul unmittelbar nach der Installation stumm, ohne Warnungen auszulösen.

Analysten Threat-Intelligence-System MistEye bösartige Paketaktivitäten in allen drei Ökosystemen und führten eine vertiefte technische Analyse durch. In einem Bericht, der